為什麼說HTTPS比HTTP安全? HTTPS是如何保證安全的?

林恒發表於2024-03-19

這裡給大家分享我在網上總結出來的一些知識,希望對大家有所幫助

為什麼說HTTPS比HTTP安全? HTTPS是如何保證安全的?

一、安全特性

在上篇文章中,我們瞭解到HTTP在通訊過程中,存在以下問題:

  • 通訊使用明文(不加密),內容可能被竊聽
  • 不驗證通訊方的身份,因此有可能遭遇偽裝

HTTPS的出現正是解決這些問題,HTTPS是建立在SSL之上,其安全性由SSL來保證

在採用SSL後,HTTP就擁有了HTTPS的加密、證書和完整性保護這些功能

SSL(Secure Sockets Layer 安全套接字協議),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通訊提供安全及資料完整性的一種安全協議

二、如何做

SSL的實現這些功能主要依賴於三種手段:

  • 對稱加密:採用協商的金鑰對資料加密
  • 非對稱加密:實現身份認證和金鑰協商
  • 摘要演算法:驗證資訊的完整性
  • 數字簽名:身份驗證

對稱加密

對稱加密指的是加密和解密使用的秘鑰都是同一個,是對稱的。只要保證了金鑰的安全,那整個通訊過程就可以說具有了機密性

非對稱加密

非對稱加密,存在兩個秘鑰,一個叫公鑰,一個叫私鑰。兩個秘鑰是不同的,公鑰可以公開給任何人使用,私鑰則需要保密

公鑰和私鑰都可以用來加密解密,但公鑰加密後只能用私鑰解 密,反過來,私鑰加密後也只能用公鑰解密

混合加密

HTTPS通訊過程中,採用的是對稱加密+非對稱加密,也就是混合加密

在對稱加密中講到,如果能夠保證了金鑰的安全,那整個通訊過程就可以說具有了機密性

HTTPS採用非對稱加密解決秘鑰交換的問題

具體做法是傳送密文的一方使用對方的公鑰進行加密處理“對稱的金鑰”,然後對方用自己的私鑰解密拿到“對稱的金鑰”

這樣可以確保交換的金鑰是安全的前提下,使用對稱加密方式進行通訊

舉個例子:

網站秘密保管私鑰,在網上任意分發公鑰,你想要登入網站只要用公鑰加密就行了,密文只能由私鑰持有者才能解密。而駭客因為沒有私鑰,所以就無法破解密文

上述的方法解決了資料加密,在網路傳輸過程中,資料有可能被篡改,並且駭客可以偽造身份釋出公鑰,如果你獲取到假的公鑰,那麼混合加密也並無多大用處,你的資料扔被駭客解決

因此,在上述加密的基礎上仍需加上完整性、身份驗證的特性,來實現真正的安全,實現這一功能則是摘要演算法

摘要演算法

實現完整性的手段主要是摘要演算法,也就是常說的雜湊函式、雜湊函式

可以理解成一種特殊的壓縮演算法,它能夠把任意長度的資料“壓縮”成固定長度、而且獨一無二的“摘要”字串,就好像是給這段資料生成了一個數字“指紋”

摘要演算法保證了“數字摘要”和原文是完全等價的。所以,我們只要在原文後附上它的摘要,就能夠保證資料的完整性

比如,你發了條訊息:“轉賬 1000 元”,然後再加上一個 SHA-2 的摘要。網站收到後也計算一下訊息的摘要,把這兩份“指紋”做個對比,如果一致,就說明訊息是完整可信的,沒有被修改

數字簽名

數字簽名能確定訊息確實是由傳送方簽名併發出來的,因為別人假冒不了傳送方的簽名

原理其實很簡單,就是用私鑰加密,公鑰解密

簽名和公鑰一樣完全公開,任何人都可以獲取。但這個簽名只有用私鑰對應的公鑰才能解開,拿到摘要後,再比對原文驗證完整性,就可以像簽署檔案一樣證明訊息確實是你發的

和訊息本身一樣,因為誰都可以釋出公鑰,我們還缺少防止駭客偽造公鑰的手段,也就是說,怎麼判斷這個公鑰就是你的公鑰

這時候就需要一個第三方,就是證書驗證機構

CA驗證機構

數字證書認證機構處於客戶端與伺服器雙方都可信賴的第三方機構的立場

CA 對公鑰的簽名認證要求包括序列號、用途、頒發者、有效時間等等,把這些打成一個包再簽名,完整地證明公鑰關聯的各種資訊,形成“數字證書”

流程如下圖:

  • 伺服器的運營人員向數字證書認證機構提出公開金鑰的申請
  • 數字證書認證機構在判明提出申請者的身份之後,會對已申請的公開金鑰做數字簽名
  • 然後分配這個已簽名的公開金鑰,並將該公開金鑰放入公鑰證書後繫結在一起
  • 伺服器會將這份由數字證書認證機構頒發的數字證書傳送給客戶端,以進行非對稱加密方式通訊

接到證書的客戶端可使用數字證書認證機構的公開金鑰,對那張證書上的數字簽名進行驗證,一旦驗證透過,則證明:

  • 認證伺服器的公開金鑰的是真實有效的數字證書認證機構
  • 伺服器的公開金鑰是值得信賴的

三、總結

可以看到,HTTPSHTTP雖然只差一個SSL,但是通訊安全得到了大大的保障,通訊的四大特性都以解決,解決方式如下:

  • 機密性:混合演算法
  • 完整性:摘要演算法
  • 身份認證:數字簽名
  • 不可否定:數字簽名

同時引入第三方證書機構,確保公開秘鑰的安全性

參考文獻

  • https://zhuanlan.zhihu.com/p/100657391
  • https://juejin.cn/post/6844903830987997197#heading-7
  • https://cloud.tencent.com/developer/article/1748862

相關文章